Principes voor beveiliging

Onderdeel van: Thema's
Contact: Guus van den Berg; Guus.vandenberg@cip-overheid.nl
Status: Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging

Kernwaarden & Kwaliteitsdoelen met link aan Beveiligingbewerken

Twee van de NORA Kernwaarden van Dienstverlening hebben een directe link met Informatieveiligheid & Beveiliging:

Kernwaarde Vertrouwen

Kernwaarde Veilig

NORA Architectuurprincipes met directe links met de Kwaliteitsdoelen rond beveiligingbewerken

Aan deze 8 Kwaliteitsdoelen zijn de volgende Architectuurprincipes gelinkt:

Themaprincipes Beveiligingbewerken

Voor het thema Beveiliging zijn bij de ontwikkeling van de BIO (Baseline Informatiebeveiliging Overheid) een aantal Beveiligingsprincipes gemaakt als onderdeel van de ISOR. Deze beveiligingsprincipes zijn los van de NORA ontwikkeld, maar hier opgenomen als Themaprincipes. Zij worden op termijn wel weer gelinkt aan de NORA NORA Verbindende Architectuurafspraken.

Er zijn in totaal 202 Beveiligingsprincipes.

ID	Beveiligingsprincipe	Criterium	Doelstelling
APO_B.01	Beleid voor (beveiligd) ontwikkelen	Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.	Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd.
APO_B.02	Systeem-ontwikkelmethode	Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.	Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.
APO_B.03	Classificatie van informatie	Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden.	Het inzichtelijk maken welke mate van bescherming de informatie nodig heeft.
APO_B.04	Veilige systeemarchitectuur en technische uitgangspunten	Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen	Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
APO_B.05	Uitbestede systeemontwikkeling	De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.	Het vaststellen van een mogelijke bedrijfsimpact die de verantwoordelijke wil accepteren, in het geval de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie wordt aangetast.
APO_B.06	Privacy en bescherming persoonsgegevens applicatieontwikkeling	Bij het ontwikkelen van applicaties behoren de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.	Het reduceren van privacy-risico’s voor de betrokkenen en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving betreffende de bescherming van persoonsgegevens.
APO_B.07	Kwaliteitsmanagementsysteem	De doelorganisatie behoort volgens een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.	Het zorgen dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst op het juiste kwaliteitsniveau.
APO_B.08	Toegangsbeveiliging op programmacode	Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoren op passende wijze te worden beheerd.	Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen
APO_B.09	Projectorganisatie	Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.	Het ondersteunen van de (project-)organisatie voor informatiebeveiliging in het applicatie-ontwikkeltraject.
APO_C.01	Richtlijn evaluatie-ontwikkelactiviteiten	De projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode.	Het adequaat controle-activiteiten en rapportages opstellen gericht op ontwikkelactiviteiten.
APO_C.02	Versiebeheer applicatieontwikkkeling	De projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben.	Dat eenieder die in rol heeft in het systeem-ontwikkeltraject op ieder moment kan beschikken over de juiste versie van een document, programma e.d.
APO_C.03	Patchmanagement	Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.	Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
APO_C.04	(Software)configuratiebeheer	De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.	Het waarborgen dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
APO_C.05	Quality assurance	De projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.	Het kunnen vaststellen van de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling.
APO_C.06	Compliance-management	De projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.	Het reduceren van risico’s en het vermijden van (im)materiële schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving, overeenkomsten, beleid en andere verplichtingen.
APO_C.07	Beheersorganisatie applicatieontwikkeling	De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld.	Het invullen, coördineren en borgen van de beheersing van softwareontwikkeling.
APO_U.01	Wijzigingsbeheerprocedure voor applicaties en systemen	Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.	Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling.
APO_U.02	Beperking software-installatie applicatieontwikkeling	Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op beveiligde wijze te beheren.	Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken zoals het weglekken van informatie, verlies van integriteit of andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.
APO_U.03	Richtlijn programmacode	Voor het ontwikkelen van de (programma)code zijn specifieke regels van toepassing en behoort gebruik te zijn gemaakt van specifieke best practices.	Het zorgen voor een efficiënt en effectief voortbrengingsproces van de applicatie, mede gericht op de goede onderhoudbaarheid van de applicatie.
APO_U.04	Analyse en specificatie informatiesysteem	De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.	Een basis leggen voor de volgende fases (de ontwerpfase en verder) met geanalyseerde en gespecificeerde functionele eisen.
APO_U.05	Informatiebeveiliging in projectmangement	Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.	Het zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt..
APO_U.06	Applicatie-ontwerp	Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.	Het opstellen van een veilig en gedegen/solide applicatieontwerp.
APO_U.07	Applicatiefunctionaliteit	Informatiesystemen behoren zo te worden ontworpen, dat de invoerfuncties, verwerkingsfuncties en uitvoerfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.	Het bedrijfsproces optimaal te ondersteunen.
APO_U.08	Applicatiebouw	De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met (industrie) good practice en door individuen die beschikken over de juiste vaardigheden en tools en behoort te worden gereviewd.	Het zorgen dat er geen zwakke punten in de veiligheid worden geïntroduceerd en dat applicaties in staat zijn om kwaadaardige aanvallen te weerstaan.
APO_U.09	Systeemacceptatietest	Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.	Het toetsen of de requirements adequaat in het uiteindelijke product, het nieuwe informatiesysteem, zijn verwerkt.
APO_U.10	Beschermen testgegevens	Testgegevensbehoren op passende wijze te worden geselecteerd, beschermd en beheerd.	Het vermijden van het gebruik van persoonsgegevens of enige andere vertrouwelijke informatie voor testdoeleinden en het beschermen van gegevens die voor het testen van informatiesystemen zijn gebruikt.
APO_U.10.01	Beschermen testgegevens	Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.	Het vermijden van het gebruik van persoonsgegevens of enige andere vertrouwelijke informatie voor testdoeleinden en het beschermen van gegevens die voor het testen van informatiesystemen zijn gebruikt.
APO_U.11	Scheiding van ontwikkel-, test- en productieomgevingen	Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.	Het voorkomen dat door ontwikkelactiviteiten het productieproces negatief beïnvloed wordt.
APO_U.12	Applicatiekoppeling	De koppelingen tussen applicaties behoren te worden uitgevoerd volgens geaccordeerde koppelingsrichtlijnen.	Het kunnen leveren van de juiste services en waarborgen van de informatiebeveiliging van de betrokken applicaties.
APO_U.13	Logging en monitoring	Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.	Ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
APO_U.14	Applicatie-architectuur	De functionele en beveiligingseisen behoren in een applicatie-architectuur, conform architectuurvoorschriften, in samenhang te zijn vastgelegd.	Het richting geven aan de te ontwikkelen applicatie en een betrouwbare werking van de applicatie te garanderen.
APO_U.15	Tooling ontwikkelmethode	De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.	Het effectief uitvoeren van de ontwikkelcyclus van een applicatie met de continue veranderingen in de onderkende fasen.
CLD_B.01	Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten	Informatiebeveiligingsbeleid en onderwerp specifieke beleidsregels voor de inzet van clouddiensten behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, te worden beoordeeld.	De voortdurende geschiktheid, toereikendheid, doeltreffendheid van de sturing en ondersteuning door het management overeenkomstig de bedrijfseisen en de eisen van wet- en regelgeving, statutaire en contractuele eisen te bewerkstelligen.
CLD_B.02	Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP	Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften en privacy-vereisten van de betrokken organisaties.	Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de implementatie, uitvoering en het beheer van informatiebeveiliging tussen de CSC en de CSP inrichten.
CLD_B.03	Identificeren van de relevante wet- en regelgeving	De CSC en CSP behoren contact met de relevante instanties te leggen en te onderhouden, zij behoren daarbij de w'ettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, te identificeren, te documenteren en actueel te houden.	Identificatie van de van toepassing zijnde juridische, regelgevende, zelfopgelegde of contractuele vereisten voor informatiebeveiliging voor zowel CSC als CSP.
CLD_B.04	Waarborgen van de wet- en regelgeving bij de selectie van een CSP	De wet- en regelgeving van toepassing op de verwerking van vertrouwelijke gegevens en de verwerking buiten de grenzen van de EER is duidelijk.	Clouddiensten worden alleen ingezet wanneer aan de wet- en regelgeving kan worden voldaan.
CLD_B.05	Risicoafweging bij de selectie van een clouddienst van een CSP	Op basis van vooraf vastgestelde informatiebeveiligings- en privacy-eisen wordt een risicoanalyse en DPIA uitgevoerd alvorens een clouddienst van een CSP te selecteren.	Bij het tegen elkaar afzetten van de voor- en nadelen worden de beveiligings- en privacy-eisen meegenomen.
CLD_B.06	Risicoafweging voorafgaand aan de verwerking van persoonsgegevens	De verwerking van persoonsgegevens vindt pas plaats na het uitvoeren van een (pre-scan of formele) DPIA, terwijl de opslag en verwerking van een basisregistratie pas plaatsvindt na advies van CIO Rijk, de besluitvorming is openbaar.	Het maken van een risicoafweging voorafgaand aan de verwerking van persoonsgegevens en het bieden van openheid hierover.
CLD_B.07	Afspraken over risicomanagement tijdens de inzet van de clouddienst	Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd op basis van informatie over dreigingen in geselecteerde interne en externe bronnen, dit start al voorafgaand aan het inzetten van de clouddienst en geldt voor de gehele (toeleverings)keten van ICT-producten en -diensten.	De verwerking voldoet blijvend aan de informatiebeveiligings- en privacyvereisten.
CLD_C.01	Registratie cloudgebruik en bijhouden risicoanalyses	De CSC houdt cloudgebruik en de risico’s daarvan bij, met het doel risicoanalyses te actualiseren.	Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van eerder gemaakte risicoanalyses.
CLD_C.02	Onpartijdige beoordeling CSP	De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onpartijdig en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld en opgevolgd.	Waarborgen dat onpartijdig wordt aangetoond dat de CSP continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging en privacybescherming hanteert.
CLD_C.03	Beheerorganisatie CSC-CSP inzet clouddiensten	De CSC en de CSP beoordelen op effectiviteit, zodat hun beheersorganisaties blijvend op elkaar zijn ingericht waarbij de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.	Als de beheerorganisatie voor de inzet van clouddiensten tussen CSC en CSP niet duidelijk is ingericht of onvoldoende effectief functioneert, bestaat het risico dat processen, taken en verantwoordelijkheden niet eenduidig worden uitgevoerd, waardoor afspraken niet tijdig of helemaal niet worden opgevolgd en de beheersing van clouddiensten structureel tekortschiet.
CLD_C.04	Controle op de afhandeling van beveiligingsgebeurtenissen	Het monitoren en het opvolgen van beveiligingsgebeurtenissen blijft op niveau of wordt verbeterd doordat de uitvoering regelmatig wordt bewaakt en hierover behoort tijdig te worden gerapporteerd aan de CSC en opgevolgd, terwijl het proces wordt beoordeeld.	Bewaken dat het monitoren en het opvolgen van beveiligingsgebeurtenissen op niveau blijft en daar waar mogelijk verbeterd kan worden.
CLD_C.05	Controle op de afspraken uit leveranciersovereenkomst en SLA	De contractuele vereisten en SLA’s en in het bijzonder BCM, cryptografie, software, veiligheid van de koppelvlakken, de interoperabiliteit & portabiliteit worden als onderdeel van een informatiebeveiligingsprogramma periodiek geëvalueerd en gecontroleerd op verbeterpunten en het up-to-date zijn.	Alle afspraken die in de leveranciersovereenkomst worden geëvalueerd en gecontroleerd op verbeterpunten of het up-to-date zijn.
CLD_U.01	Leveranciersovereenkomsten	Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen, hierbij wordt ook gekeken naar de toeleveringsprocessen van de CSP.	Overeenkomen van afspraken over en het niveau van dienstverlening waaronder informatiebeveiliging in de leveranciersrelaties CSC-CSP.
CLD_U.02	Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen	De CSP behoort, conform de exitstrategie van de CSC, alle bedrijfsmiddelen van de organisatie die zij in hun bezit hebben bij beëindiging of wijziging van de dienst, contract of overeenkomst te retourneren, te kunnen verplaatsen of op verzoek te verwijderen en biedt hiervoor passende voorzieningen.	De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure voor het wijzigen of beëindigen van de dienst, het contract of de overeenkomst.
CLD_U.03	Veilige software	Voor het veilig ontwikkelen van software en het voorkomen van besmetting met malware zijn regels vastgesteld en toegepast.	Informatiebeveiligingsmaatregelen worden ontworpen en geïmplementeerd tijdens de gehele levenscyclus van software.
CLD_U.04	Wijzigingsbeheer	Wijzigingen in de clouddienst behoren onderworpen te zijn aan procedures voor wijzigingsbeheer, zodat het belang van de CSC wordt meegenomen en de CSC van een wijziging op de hoogte is.	De dienstverlening waaronder het informatiebeveiligingsniveau behouden tijdens het uitvoeren van wijzigingen.
CLD_U.05	Intellectuele eigendomsrechten	De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen.	De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van gepatenteerde producten.
CLD_U.06	Kloksynchronisatie	De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.	De correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk maken en onderzoeken bij informatiebeveiligingsincidenten ondersteunen.
CLD_U.07	Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen	Informatie en andere gerelateerde bedrijfsmiddelen behoren inzichtelijk en overzichtelijk te zijn gedurende de gehele levenscyclus.	Het identificeren van de informatie en andere gerelateerde bedrijfsmiddelen van de CSC om de informatiebeveiliging en de vertrouwelijkheid, inclusief de privacy, ervan te behouden en passend eigenaarschap, verwerkings-, verwerkersverantwoordelijkheid toe te wijzen.
CLD_U.08	Identiteits en toegangsmanagement	De identificatie, het toewijzen van authenticatiegegevens en het verstrekken van toegangsrechten behoren te worden beheerst door middel van beheerprocessen en passende identiteits- en toegangsbeheertechnologie.	Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd, waarbij de toewijzing van toegangsrechten aan de juiste personen en systemen plaatsvindt.
CLD_U.09	Beperking toegang tot informatie en speciale toegangsrechten	De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging, in het bijzonder daar waar het speciale toegangsrechten betreft.	Uitsluitend bevoegde toegang bewerkstelligen en onbevoegde toegang tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen, in het bijzonder daar waar het speciale toegangsrechten betreft.
CLD_U.10	Gebruik van cryptografie	Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.	Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.
CLD_U.11	Logging en monitoring	Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.	Gebeurtenissen registreren, bewijs genereren, synchroniseren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen.
CLD_U.12	Toegangsbeveiliging in een multi-tenant-omgeving	Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.	Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
CLD_U.13	Netwerksegmentatie en koppelvlakken	Clouddiensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd, koppelvlakken bieden een veilige toegang tot een segment.	Het netwerk opsplitsen met beveiligingsgrenzen en het verkeer ertussen op basis van de bedrijfsbehoeften beheersen.
CLD_U.14	Beschermen van registraties	Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.	De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties.
CLD_U.15	Inzicht in de beschikbare speciale systeemhulpmiddelen	Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.	Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging.
CLD_U.16	Gedocumenteerde bedieningsprocedures	Bedieningsprocedures voor informatie verwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat deze nodig heeft.	De correcte en veilige bediening van informatie verwerkende faciliteiten waarborgen.
CLD_U.17	Bewustwording, opleiding en training	Personeel van de CSC die de dienst gebruiken behoren een passende bewustwording van en opleiding en training in het gebruik van de clouddienst voor zover relevant voor hun functie te krijgen, inclusief de onderwerp specifieke beleidsregels en procedures van de CSC organisatie in relatie tot het geldende regelmatige herijkte informatiebeveiliging en -beleid.	Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
CLD_U.18	Beheer van technische kwetsbaarheden	Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren passende maatregelen te worden getroffen.	Misbruik van technische kwetsbaarheden voorkomen.
CLD_U.19	Melden van informatiebeveiligingsgebeurtenissen	De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.	Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd.
CLD_U.20	Opvolging informatiebeveiligingsincidenten	De processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten behoren te zijn gedefinieerd, vastgesteld en gecommuniceerd, inclusief het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.	Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen. Tevens in het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten.
CLD_U.21	Waarborgen van de bedrijfscontinuïteit	De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.	De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen.
CLD_U.22	Capaciteitsbeheer clouddiensten	Het gebruik van middelen behoort te worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen.	De vereiste capaciteit van de middelen van de clouddienst waarborgen.
CLD_U.23	Back-up van informatie	Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.	Herstel mogelijk maken na verlies van gegevens of systemen.
CVZ_B.01	Beleid en procedures voor informatietransport	Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.	Het beheersen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tijdens transport in netwerken.
CVZ_B.02	Overeenkomst voor informatietransport	Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.	Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken.
CVZ_B.03	Cryptografiebeleid voor communicatie	Ter bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.	Het beheersen van cryptografie binnen netwerken en communicatieservices.
CVZ_B.04	Organisatiestructuur netwerkbeheer	In het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.	Het invullen, coördineren en borgen van het netwerkbeheer.
CVZ_C.01	Naleving richtlijnen netwerkbeheer en evaluaties	Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.	Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn.
CVZ_C.02	Compliance-toets netwerkbeveiliging	De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).	Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid.
CVZ_C.03	Evalueren robuustheid netwerkbeveiliging	De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.	Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen.
CVZ_C.04	Evalueren netwerkgebeurtenissen (monitoring)	Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.	Detectie, vastlegging en onderzoek mogelijk te maken van netwerkgebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.
CVZ_C.05	Beheersorganisatie netwerkbeveiliging	Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.	Het invullen, coördineren en borgen van de beheersing van de netwerkbeveiliging.
CVZ_U.01	Richtlijn voor netwerkbeveiliging	Organisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer ¹.	Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging.
CVZ_U.02	Beveiligde inlogprocedure	Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.	Onbevoegde toegang tot (communicatie)systemen en toepassingen voorkomen.
CVZ_U.03	Netwerkbeveiligingsbeheer	Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.	Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat.
CVZ_U.04	Vertrouwelijkheids- of geheimhoudingsovereenkomst	Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.	Het beschermen van vertrouwelijke informatie waaraan dienstverleners en partners worden blootgesteld.
CVZ_U.05	Beveiliging netwerkdiensten	Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.	Bij uitval van netwerkdiensten kan de continuïteit van de bedrijfsvoering optimaal gecontinueerd worden; een contante beschikbaarheid en continuïteit garanderen.
CVZ_U.06	Zonering en filtering	Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).	Veilig communiceren vanuit het ene naar het andere netwerk.
CVZ_U.07	Elektronische berichten	Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd.	Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk.
CVZ_U.08	Toepassingen via openbare netwerken	Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.	Het effectief beveiligen van het netwerkverkeer via openbare netwerken.
CVZ_U.09	Gateways en firewalls	De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.	Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren.
CVZ_U.10	Virtual Private Network (VPN)	Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.	Het zorgen voor een veilige verbinding, waarbij getransporteerde informatie over netwerken vertrouwelijk blijft.
CVZ_U.11	Cryptografische services	Ter bescherming van de vertrouwelijkheid en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.	Het behouden van de vertrouwelijkheid en integriteit van de getransporteerde informatie.
CVZ_U.12	Draadloze toegang	Draadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatie van gebruikers en versleuteling van de communicatie.	Het zorgen dat onbevoegden geen gebruik kunnen maken van devices waartoe ze niet gemachtigd zijn en dat het draadloze verkeer beschikbaar, integer en vertrouwelijk blijft.
CVZ_U.13	Netwerkconnectie	Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.	Bij beheer, storingen en calamiteiten weten wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd.
CVZ_U.14	Netwerkauthenticatie	Authenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.	Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten.
CVZ_U.15	Netwerkbeheeractiviteiten	Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.	Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat.
CVZ_U.16	Logging en monitoring communicatievoorzieningen	Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s).	Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden.
CVZ_U.17	Netwerkbeveiligingsarchitectuur	De beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.	Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.
HVI_B.01	Huisvesting informatievoorzieningenbeleid	Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.	Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.
HVI_B.02	Wet- en regelgeving Huisvesting IV	Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.	Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.
HVI_B.03	Eigenaarschap Huisvesting IV	Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.	Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
HVI_B.04	Certificering	Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.	Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
HVI_B.05	Contractmanagement	Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.	Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau.
HVI_B.06	Service Level Management	Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).	Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).
HVI_B.07	In- en externe bedreigingen	Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.	Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.
HVI_B.08	Training en bewustwording	Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.	Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers: zich bewust zijn van bedreigingen en gevaren van huisvesting IV; continu op de hoogte zijn van het vigerende huisvesting IV-beleid; continu bewust blijven van relevante maatregelen.
HVI_B.09	Organisatiestructuur huisvesting IV	De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.	Het invullen, coördineren en borgen van huisvesting IV.
HVI_C.01	Controle-richtlijnen huisvesting IV	Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.	Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV.
HVI_C.02	Onderhoudsplan	Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen.	Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.
HVI_C.03	Continuïteitsbeheer	Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.	Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald.
HVI_C.04	Beheersorganisatie huisvesting IV	De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.	Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening.
HVI_U.01	Richtlijn gebieden en ruimten	Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast¹.	Het bewerkstelligen van de juiste coördinatie van activiteiten binnen de beveiligde ruimten.
HVI_U.02	Bedrijfsmiddelen-inventaris	Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.	Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.
HVI_U.03	Fysieke zonering	Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.	Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.
HVI_U.04	Beveiligingsfaciliteiten	Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast¹.	Het voorkomen van onbevoegde toegang tot ruimten.
HVI_U.05	Nutsvoorzieningen	Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.	Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.
HVI_U.06	Apparatuur-positionering	Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.	Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
HVI_U.07	Apparatuur-onderhoud	Apparatuur behoort op een correcte wijze te worden onderhouden.	Het waarborging dat apparatuur continue beschikbaar en integer is.
HVI_U.08	Apparatuur-verwijdering	Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.	Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.
HVI_U.09	Bedrijfsmiddelenverwijdering	Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.	Het bewerkstelligen van een gecontroleerde verwijdering en afvoer van bedrijfsmiddelen.
HVI_U.10	Laad- en loslocatie	Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.	Het voorkomen van onbevoegde toegang tot huisvesting Informatievoorzieningen (IV), zoals terreinen en gebouwen.
HVI_U.11	Bekabeling	Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.	Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.
HVI_U.12	Huisvesting IV-architectuur	Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.	Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.
MDW_B.01	Beleid middlewarecomponenten	De leverancier behoort volgens een overeengekomen middlewarecomponenten beleid adequate maatregelen, zoals classificatie, te treffen om deze diensten te kunnen leveren.	Het beheersen van beveiliging van data in middlewarecomponenten.
MDW_B.02	Beleid informatietransport	Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.	Het maken van beleid over welke informatie, in welke vorm via integratiefuncties uitgewisseld mag worden.
MDW_B.03	Data en privacy	Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en versleuteling van data, voor transformatie en aggregatie, voor toegang en privacy, classificatie en labelen en bescherming tegen verlies van gegevens.	Het formaliseren van de wijze waarop middleware de bedrijfs- en persoonsgebonden data mag verwerken.
MDW_B.04	Middlewarearchitectuur en certificering	De leverancier hanteert relevante industriestandaards voor de structuur en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke certificeringen van haar dienstverlening.	Het bieden van het gewenste niveau van zekerheid aan klant-organisaties.
MDW_C.01	Evaluatierichtlijnen	Evaluatie-richtlijnen behoren te zijn vastgesteld om de implementatie en beveiliging van middlewarefunctionaliteiten te controleren, waarbij tekortkomingen tijdig aan het management worden gerapporteerd.	Een betrouwbaar controleproces en het betrouwbaar kunnen rapporteren van tekortkomingen aan het management.
MDW_C.02	Evaluatie naleving beleid	De leverancier behoort regelmatig de naleving van richtlijnen en procedures voor de uitvoering van middlewarefunctionaliteiten ‘Bewaken en herstellen’ te beoordelen aan de hand van de desbetreffende beleidsregels.	Het vaststellen of de middlewarefunctionaliteiten ‘Bewaken en herstellen’ volgens het overeengekomen beleid worden geboden.
MDW_C.03	Beoordeling middlewarefunctionaliteit	Middlewarefunctionaliteiten en technische omgevingen waarin ze actief zijn, behoren regelmatig op naleving van de richtlijnen ten aanzien van toegang te worden beoordeeld en gerapporteerd.	Het tijdig traceren van tekortkomingen in middlewarefunctionaliteiten en of het beheer daarvan alsmede het nemen van adequate maatregelen.
MDW_C.04	Rapporteren middlewarefunctionaliteiten	De leverancier behoort periodiek te rapporteren' over de implementatie, performance en beschikbaarheid van middlewarefunctionaliteiten en review-activiteiten.	Het bieden van tijdig inzicht in implementatieactiviteiten en beschikbaarheid van middlewarefunctionaliteiten.
MDW_C.05	Monitoren gebruikers- en beheerdersactiviteiten	De organisatie reviewt en analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan middlewarefunctionaliteiten vast te stellen en bevindingen aan het management te rapporteren'.	Het tijdig vaststellen van onjuist gebruik en verdachte activiteiten aan middlewarefunctionaliteiten. Het tijdig rapporteren van bevindingen.
MDW_U.01	Richtlijnen en procedures middlewarefunctionaliteit	Richtlijnen en procedures voor middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben.	Het zorgen dat uitsluitend de juiste en gedocumenteerde activiteiten worden uitgevoerd.
MDW_U.02	Rollen en verantwoordelijkheden middlewarefunctionaliteit	Alle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen.	Het zorgen dat de juiste verantwoordelijkheden worden gedefinieerd en toegewezen.
MDW_U.03	Toegang tot middlewarefunctionaliteit	Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst.	Het voorkomen van onbevoegde toegang tot middlewarefuncties en beheerinterfaces.
MDW_U.05	Configuratie middlewarecomponenten	De leverancier heeft volgens de richtlijnen en procedures de middlewarecomponenten geconfigureerd.	Het zorgen voor voorspelbaar, gedocumenteerd gedrag van middlewarefuncties.
MDW_U.06	Logging en monitoring middleware	Middleware biedt continue signaleringsfuncties voor registratie en detectie, die beveiligd zijn ingericht.	Het verzamelen van bewijs over gebeurtenissen, waaronder de detectie van ongeoorloofd gebruik, en de continue bewaking van het nakomen van beleidsuitgangspunten.
MDW_U.08	Vertrouwelijkheid en integriteit data	Gevoelige data behoort volgens het overeengekomen beleid over maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld.	Het beschermen van data tegen ongeoorloofd lezen, wijzigen of vernietigen door een correct en doeltreffend gebruik van maskeringstechnieken.
MDW_U.09	Betrouwbare dataopslag	Opslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.	Het implementeren van maatregelen die naar de behoefte van de klant zorgen voor een ononderbroken toegang tot de data. Het kunnen vertrouwen op de beschikbaarheid en integriteit van de data.
MDW_U.10	Dataherstel	Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.	Het kunnen herstellen van data na storingen, diefstal, systeemuitval of calamiteiten. Het beschermen tegen het verlies van gegevens.
MDW_U.11	Schonen data en media	Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.	Het voorkomen van, die op (niet meer gebruikte) media is opgeslagen, als deze media in andere systemen wordt hergebruikt of in handen van onbevoegden terechtkomen.
MDW_U.12	Beveiliging berichtenverkeer	Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.	Het handhaven van de beveiliging van uitgewisselde informatie binnen het ICT-landschap van een organisatie en met externe entiteiten.
MDW_U.13	Capaciteitsbeheer middleware	Het gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.	Het voorkomen van overbelasting van de keten. Het bieden van een ‘eerlijke’ verdeling van de beschikbare capaciteit over de afnemers van de services.
SVP_B.01	Beleid voor beveiligde inrichting en onderhoud	Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.	Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform.
SVP_B.02	Inrichtingsprincipes voor serverplatform	Principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.	Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers.
SVP_B.03	Serverplatform-architectuur	De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.	Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform.
SVP_C.01	Richtlijn evaluatie ontwikkelactiviteiten	Richtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.	Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen.
SVP_C.02	Beoordeling technische serveromgeving	Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.	Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd.
SVP_C.03	Logbestanden beheerders	Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.	Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd.
SVP_C.04	Logging	Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.	Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen.
SVP_C.05	Monitoring	De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.	Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen.
SVP_C.06	Beheersorganisatie servers en serverplatforms	Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.	Het invullen, coördineren en borgen van de beheersing van servers en serverplatforms.
SVP_U.01	Bedieningsprocedure	Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.	Het waarborgen van een correcte en veilige bediening van serverplatforms.
SVP_U.02	Standaarden voor serverconfiguratie	Het serverplatform is geconfigureerd volgens gedocumenteerde standaarden.	Dat een serverplatform correct werkt met de vereiste beveiligingsinstellingen, dat de configuratie niet wordt gewijzigd door ongeautoriseerden en het voorkomen van onjuiste wijzigingen.
SVP_U.03	Malwareprotectie serverplatform	Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.	Het zorgen dat informatie op servers wordt beschermd tegen malware.
SVP_U.04	Technische kwetsbaarhedenbeheer serverplatform	Informatie over technische serverkwetsbaarheden¹ behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.	Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.
SVP_U.05	Patchmanagement serverplatform	Patchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.	Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
SVP_U.06	Beheer op afstand	Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.	Voorkomen van verlies, schade, diefstal of in gevaar brengen van informatie en andere bijbehorende assets en onderbreking van de activiteiten van de organisatie.
SVP_U.07	Server-onderhoud	Servers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.	Het waarborgen van continue beschikbare en integere servers.
SVP_U.08	Verwijderen of hergebruiken serverapparatuur	Alle onderdelen van servers die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.	Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SVP_U.09	Hardenen server	Voor het beveiligen van een server worden overbodige functies en ongeoorloofde toegang uitgeschakeld.	Het verbeteren van de beveiliging van een server.
SVP_U.10	Serverconfiguratie	Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.	Het veilig laten functioneren van serverplatforms.
SVP_U.11	Virtualisatie serverplatform	Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.	Het in voldoende mate beveiligen van gevoelige informatie op een virtueel serverplatform.
SVP_U.12	Beperking software-installatie serverplatform	Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.	Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken, zoals het weglekken van informatie, verlies van integriteit, andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.
SVP_U.13	Kloksynchronisatie	De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gedocumenteerd en gesynchroniseerd met één referentietijdbron.	Om de correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk te maken en om onderzoeken naar informatiebeveiligingsincidenten te ondersteunen.
SVP_U.14	Ontwerpdocument	Het ontwerp van een serverplatform behoort te zijn gedocumenteerd.	Het hebben van een middel waarmee de vereiste acties genomen kunnen worden in de volgende fase, de inrichting van de server en het serverplatform. Inzichtelijk is waar wel en niet rekening mee is gehouden in het ontwerp.
SWP_B.01	Verwervingsbeleid softwarepakketten	Voor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.	Het beheersen van het verwerven van softwarepakketten.
SWP_B.02	Informatiebeveiligingsbeleid voor leveranciersrelaties	Met de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.	Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.
SWP_B.03	Exit-strategie softwarepakketten	In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.	Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.
SWP_B.04	Bedrijfs- en beveiligingsfuncties	De noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.	Het voldoen aan de businesseisen van de organisatie en de beoogde, veilige ondersteuning van het bedrijfsproces.
SWP_B.05	Cryptografie Softwarepakketten	Ter bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.	Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheid van informatie te kunnen garanderen.
SWP_B.06	Beveiligingsarchitectuur	De klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.	Het effectief sturen en beheersen van veranderingen in het applicatielandschap.
SWP_C.01	Evaluatie leveranciersdienstverlening	De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te monitoren, te beoordelen en te auditen.	Het bepalen/vaststellen in hoeverre de leveranciersovereenkomst wordt nageleefd.
SWP_C.02	Versiebeheer softwarepakketten	Wijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.	Gemachtigden kunnen op ieder moment beschikken over de juiste versie van een softwarepakket.
SWP_C.03	Patchmanagement softwarepakketten	Patchmanagement behoort procesmatig en procedureel uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden van de gebruikte code, zodat zo snel mogelijk de laatste (beveiligings-)patches kunnen worden geïnstalleerd.	Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
SWP_U.01	Levenscyclusmanagement softwarepakketten	De leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.	Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.
SWP_U.02	Beperking wijziging softwarepakket	Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd.	Wijzigingen aan softwarepakketten gecontroleerd laten verlopen.
SWP_U.03	Bedrijfscontinuïteit	De leverancier behoort processen, procedures en beheersmaatregelen te documenteren, te implementeren en te handhaven.	Het waarborgen van het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie.
SWP_U.04	Input-/output-validatie	Het softwarepakket behoort mechanismen te bevatten voor normalisatie en validatie van invoer en voor schoning van de uitvoer.	Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.
SWP_U.05	Sessiebeheer	Sessies behoren authentiek te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een time-out of perioden van inactiviteit.	Het voorkomen dat onbevoegden zich via kwetsbaarheden toegang verschaffen tijdens langdurig openstaande sessies.
SWP_U.06	Gegevensopslag	Te beschermen gegevens worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden versleuteld. Opslag vindt alleen plaats als noodzakelijk.	Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.
SWP_U.07	Communicatie	Het softwarepakket past versleuteling toe op de communicatie van gegevens die passend bij het classificatieniveau is van de gegevens en controleert hierop.	Het beschermen van getransporteerde gegevens passend bij het classificatieniveau.
SWP_U.08	Authenticatie	Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatie en authenticatie.	Het vaststellen van de identiteit van een gebruiker van een softwarepakket.
SWP_U.09	Toegangsautorisatie	Het softwarepakket behoort een autorisatiemechanisme te bieden.	Toegang tot bedrijfs- en beheerfuncties toe te kennen en te beperken volgens het vereiste gebruikersprofiel.
SWP_U.10	Autorisatiebeheer	De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.	Bewerkstelligen dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot het softwarepakket.
SWP_U.11	Logging	Het softwarepakket biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.	Het bieden van signaleringsfuncties voor registratie en detectie.
SWP_U.12	Application Programming Interface (API)	Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens.	Het bieden van veilige mechanismen voor onder andere import en export van gegevens.
SWP_U.13	Gegevensimport	Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan.	Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.
TBV_B.01	Toegangsbeveiligingsbeleid	Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.	Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
TBV_B.02	Inventarislijst en eigenaarschap	De organisatie heeft inzicht en grip op welke informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van verantwoordelijkheden en eigenaren, binnen de organisatie gebruikt worden.	De informatie en andere gerelateerde bedrijfsmiddelen van de organisatie identificeren om de informatiebeveiliging ervan te behouden en passend eigenaarschap toe te wijzen.
TBV_B.03	Beveiligingsfunctie	Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.	Het zorgen dat de toegangsbeveiliging effectief wordt ingericht.
TBV_B.04	Cryptografie	Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.	Het zorgen dat cryptografie correct en doeltreffend wordt gebruikt, om de vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.
TBV_B.05	Beveiligingsorganisatie	Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerp-specifieke beleidsregels.	Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.
TBV_B.06	Toegangsbeveiligingsarchitectuur	De organisatie behoort met organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.	Het verkrijgen van inzicht in de samenhang van en de relatie tussen de technische componenten die een rol spelen bij de inrichting en beheer van het toegangsvoorzieningsdomein.
TBV_C.01	Beoordelingsprocedure	Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld.	Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.
TBV_C.02	Beoordeling toegangsrechten	Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.	Het vaststellen of: de autorisaties juist zijn aangebracht in de applicaties; de wijzigingen en verwijderingen juist zijn uitgevoerd; de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen over functiescheiding, scheiding van handelingen en doelbinding daar aanleiding toe geven.
TBV_C.03	Logging en monitoring	Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.	Het mogelijk maken om: eventuele schendingen van functionele en beveiligingseisen te detecteren en achteraf de juistheid van de uitgevoerde acties vast te stellen; handelingen te herleiden naar individuele personen.
TBV_C.04	Beheersorganisatie toegangsbeveiliging	De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.	Het invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.
TBV_U.01	Registratieprocedure	De volledige levenscyclus van identiteiten (personen en systemen) behoort te worden beheerd.	Het zorgen voor een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.
TBV_U.02	Toegangsverleningsprocedure	Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.	Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd overeenkomstig de bedrijfseisen.
TBV_U.03	Inlogprocedure	Er behoren beveiligde authenticatietechnologieen en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging.	Het voorkomen van onbevoegde toegang tot systemen en toepassingen.
TBV_U.04	Wachtwoordenbeheer	De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.	Het zorgen dat alleen de beoogde geauthentiseerde personen toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.
TBV_U.05	Speciale toegangsrechtenbeheer	Het toewijzen en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.	Het voorkomen van misbruik en oneigenlijk gebruik van bedrijfsobjecten.
TBV_U.06	Functiescheiding	Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.	Het zorgen dat: de gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd; niemand een gehele procescyclus kan beïnvloeden.
TBV_U.07	Autorisatie	De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging.	Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
TBV_U.08	Autorisatievoorzieningen	Voor autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen beschikbaar zijn, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten.	Het effectief, efficiënt en veilig kunnen uitvoeren van autorisatiebeheer.
TBV_U.09	Fysieke toegangsbeveiliging	Beveiligde zones behoren te worden beschermd door passende toegangsbeveiligings-maatregelen en toegangspunten.	Het zorgen dat alleen bevoegd personeel toegang krijgt en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.

1

1

1

1

ID	Architectuurprincipe	Stelling
NAP01	Verplaats je in de gebruiker	Ontwerp, realiseer en verbeter de dienst vanuit het perspectief van de afnemer.
NAP02	Geef inzicht in de afhandeling van de dienst	Informeer de afnemer over de dienst, zowel procesmatig als inhoudelijk.
NAP03	Lever een kanaal-onafhankelijk resultaat	Lever een gelijkwaardige uitkomst, ongeacht het gebruikte kanaal. Bied de dienst aan via internet, fysiek (off-line) en eventueel via andere passende kanalen waar de afnemer gebruik van kan maken.
NAP05	Bied de dienst proactief aan	Bied de dienst aan wanneer dit in het belang is of zou kunnen zijn voor de afnemer.
NAP09	Beschrijf de dienst nauwkeurig	Beschrijf de dienst nauwkeurig en positioneer deze helder binnen het dienstenaanbod.
NAP10	Neem gegevens als fundament	Gebruik gegevens als fundament voor het ontwerp, realisatie en doorontwikkeling van de dienst en richt het beheer hiervan goed in.
NAP11	Pas doelbinding toe	Geef burgers en bedrijven de zekerheid dat informatie over hen alleen wordt gebruikt voor de doelen waarvoor deze oorspronkelijk is verzameld.
NAP13	Beheers risico's voortdurend	Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.
NAP14	Verifieer altijd	Verifieer doorlopend de juiste werking van de componenten en beheersmaatregelen van de dienst.
NAP15	Maak diensten schaalbaar	Bereid de dienst voor op veranderende werklast of reikwijdte.
NAP17	Stuur cyclisch op kwaliteit	Maak cyclische sturing op de kwaliteit van de dienst mogelijk.

Op deze pagina

Principes voor beveiliging

Kernwaarden & Kwaliteitsdoelen met link aan Beveiligingbewerken

NORA Architectuurprincipes met directe links met de Kwaliteitsdoelen rond beveiligingbewerken

Themaprincipes Beveiligingbewerken